Le principe même du cloud est de déléguer à des spécialistes la gestion d'une infrastructure voire plus. Mais cela ne signifie pas que l'entreprise cliente ne doit rien faire. Varonis vient de publier une étude qui souligne la présence très fréquente de mauvaises pratiques sur la gestion des identités et des droits, mauvaises pratiques mettant en péril la sécurité d'instances cloud qui sont techniquement sécurisées.

Ainsi, sur le périmètre de l'étude, 43 % des identités disposant de droits sur des instances sont obsolètes, inutilisées et abandonnées. Or ces identités ont conservé leurs droits et sont susceptibles d'être plus facilement détournées discrètement, générant une surface d'attaque autant considérable qu'évitable. Il est indispensable de régulièrement « faire le ménage ». Pire : trois identités sur quatre correspondant à des prestataires externes ayant cessé leur travail sont toujours actives. Des identités « non-humaines » (correspondant à des robots divers comme des API, des applications, etc.) sont là aussi multipliées : une identité sur quatre pour les SaaS, une sur deux pour les IaaS. Sont-elles bien toutes nécessaires ?

Même sur les identités à conserver, un certain soin doit être apporté. Ainsi, les droits accordés sont trop vastes par rapport aux besoins dans 44 % des cas, 60 % des administrateurs n'ayant ainsi, par exemple, pas à l'être. 16 % des comptes identifiés réalisent des tâches d'administration auxquelles ils ne devraient pas avoir accès, 20 % ont accès à des données sensibles et 15 % transfèrent des données d'un cloud d'entreprise vers un compte privé où, par définition, il ne peut plus y avoir le moindre contrôle.